[发明专利]密钥分发方法、系统和卡应用

权利要求书

1.一种密钥分发方法，包括：

与认证服务器完成双向认证；

与所述认证服务器使用相同算法对根密钥进行计算，得到派生密钥；

接收所述认证服务器通过终端应用发送的派生密钥标识；

利用与所述派生密钥标识对应的派生密钥对所述终端应用的业务会话数据进行加密，以便所述终端应用与所述应用服务器进行业务会话，其中，所述应用终端与应用服务器进行业务会话时携带所述派生密钥标识，所述应用服务器根据所述派生密钥标识从所述认证服务器获取所述派生密钥。

2.根据权利要求1所述的密钥分发方法，其中，

接收所述卡应用认证服务器返回的所述派生密钥的生存周期，其中，若保存的派生密钥在所述生存周期内，则利用已保存的派生密钥对所述业务会话数据进行加密，否则，重新生成派生密钥。

3.根据权利要求1所述的密钥分发方法，其中，所述派生密钥包括第一派生密钥和第二派生密钥，其中，

所述第一派生密钥用于所述终端应用和所述应用服务器的双向认证；

所述第二派生密钥用于加密业务会话数据。

4.根据权利要求1至3任一所述的密钥分发方法，其中，对根密钥进行计算得到派生密钥包括：

基于多级分散因子对所述根密钥进行多级分散计算，得到所述派生密钥。

5.根据权利要求4所述的密钥分发方法，其中，

根据终端应用标识、集成电路卡识别码和随机数，对所述根密钥进行多级分散计算，得到所述派生密钥。

6.根据权利要求4所述的密钥分发方法，其中，

根据所述派生密钥标识、终端应用标识、集成电路卡识别码和随机数，对所述根密钥进行多级分散计算，得到所述派生密钥。

7.一种卡应用，包括：

认证单元，被配置为与认证服务器完成双向认证；

密钥生成单元，被配置为与所述认证服务器使用相同算法对根密钥进行计算，得到派生密钥；

信息接收单元，被配置为接收所述认证服务器通过终端应用发送的所述派生密钥标识；

数据加解密单元，被配置为利用与所述派生密钥标识对应的派生密钥对所述终端应用的业务会话数据进行加密，以便所述终端应用与所述应用服务器进行业务会话，其中，所述应用终端与应用服务器进行业务会话时携带所述派生密钥标识，所述应用服务器根据所述派生密钥标识从所述认证服务器获取所述派生密钥。

8.一种卡应用，包括：

存储器；以及

耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至6任一项所述的密钥分发方法。

9.一种密钥分发系统，包括：

权利要求7或8所述的卡应用；

终端应用，被配置为将认证服务器发送的派生密钥标识发送至所述卡应用，以便所述卡应用利用与所述派生密钥标识对应的派生密钥对业务会话数据进行加密，以及向应用服务器发送携带加密后的业务会话数据、派生密钥标识和终端标识的业务会话请求；

认证服务器，被配置为与所述卡应用使用相同算法对根密钥进行计算得到派生密钥，并向所述终端应用返回派生密钥标识；以及

应用服务器，被配置为根据所述派生密钥标识从所述认证服务器获取所述派生密钥，并根据所述派生密钥，和与所述终端标识对应的所述终端应用进行业务会话。

10.一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现权利要求1至6任一项所述的密钥分发方法。